Megosztás a következőn keresztül:

Jóváhagyott alkalmazások kezelése Windows-eszközökhöz az App Control for Business szabályzattal és a Microsoft Intune felügyelt telepítőivel

  • Cikk

Ez a funkció nyilvános előzetes verzióban érhető el.

Minden nap új kártevő fájlok és alkalmazások jelennek meg a vadonban. A szervezet eszközein való futtatás kockázattal jár, amelyet nehéz lehet kezelni vagy megelőzni. Ha meg szeretné akadályozni, hogy a nem kívánt alkalmazások fussanak a felügyelt Windows-eszközökön, használhatja a Microsoft Intune Vállalati verzió alkalmazásvezérlési szabályzatait.

Az Intune App Control for Business szabályzatai a végpontbiztonság részét képezik, és a Windows ApplicationControl CSP használatával kezelik az engedélyezett alkalmazásokat a Windows-eszközökön.

Az Üzleti alkalmazásvezérlési szabályzaton keresztül is elérhető felügyelt telepítőszabályzat felügyelt telepítőként hozzáadja az Intune felügyeleti bővítményt a bérlőhöz. Ha ez a bővítmény felügyelt telepítő, az Intune-on keresztül telepített alkalmazásokat a telepítő automatikusan címkézi. A címkézett alkalmazásokat az Alkalmazásvezérlés vállalati verzió szabályzatai biztonságos alkalmazásokként azonosíthatják, amelyek futtathatók az eszközökön.

A cikkben található információk segítségével felügyelt telepítőként konfigurálhatja az Intune felügyeleti bővítményt, valamint konfigurálhatja a végpontbiztonsági Alkalmazásvezérlés vállalati verzióra vonatkozó szabályzatokat. Ezek együttesen megkönnyítik a környezetben lévő Windows-eszközökön futtatható alkalmazások szabályozását.

További információ: Windows Defender alkalmazásvezérlő a Windows biztonsági dokumentációjában.

Megjegyzés:

Alkalmazásvezérlés üzleti szabályzatok és alkalmazásvezérlési profilok: Az Intune Vállalati verzió alkalmazásvezérlési szabályzatai az ApplicationControl CSP-t használják. Az Intune támadásifelület-csökkentési szabályzatai az AppLocker CSP-t használják az alkalmazásvezérlési profiljaikhoz. A Windows bevezette az ApplicationControl CSP-t az AppLocker CSP helyére. A Windows továbbra is támogatja az AppLocker CSP-t, de már nem ad hozzá új funkciókat. Ehelyett a fejlesztés az ApplicationControl CSP-vel folytatódik.

Érintett szolgáltatás:

  • Windows 10 rendszer esetén
  • Windows 11

Előfeltételek

Eszközök

Az Intune-ban való regisztráció esetén a következő eszközök támogatottak:

  • Windows Enterprise vagy Education:

    • A Windows 10 1903-as vagy újabb verziója
    • Windows 11 1903-es vagy újabb verzió

  • Windows Professional:

  • Windows 11 SE:

  • Azure Virtual Desktop (AVD):

    • Az AVD-eszközök támogatják az Alkalmazásvezérlés vállalati verzióra vonatkozó szabályzatok használatát

  • Közösen felügyelt eszközök:

    • Ha támogatni szeretné az alkalmazásvezérlést az üzleti szabályzatokhoz a közösen felügyelt eszközökön, állítsa az Endpoint Protection csúszkát az Intune-ra.

Vállalati Windows Defender alkalmazásvezérlés

A Windows biztonsági dokumentációjának Tudnivalók a Windows alkalmazásvezérléséről című témakör Windows-kiadási és licencelési követelményeit ismertető részét tartalmazza.

Szerepköralapú hozzáférés-vezérlés

Az üzleti alkalmazásvezérlési szabályzatok kezeléséhez a fióknak megfelelő szerepköralapú hozzáférés-vezérlési (RBAC) engedélyekkel kell rendelkeznie a kívánt feladat elvégzéséhez. A következő feladatok érhetők el a szükséges engedélyekkel:

  • Felügyelt telepítő használatának engedélyezése – A fiókokat globális rendszergazdai vagy Intune-szolgáltatásadminisztrátori szerepkörrel kell ellátni.

  • Alkalmazásvezérlés kezelése üzleti szabályzathoz – A fiókoknak biztonsági alapkonfiguráció-engedélyekkel kell rendelkezniük a törléshez, olvasáshoz, hozzárendeléshez, létrehozáshoz és frissítéshez.

  • Jelentések megtekintése az Üzleti alkalmazásvezérlési szabályzathoz – A fiókoknak Olvasásszervezeti engedéllyel kell rendelkezniük.

További információ: Szerepköralapú hozzáférés-vezérlés a Microsoft Intune-hoz.

Kormányzati felhőtámogatás

Az Intune végpontbiztonsága Az alkalmazásvezérlési szabályzatok és a felügyelt telepítő konfigurálása a következő szuverén felhőkörnyezetekkel támogatott:

  • US Government-felhők
  • 21Vianet

A felügyelt telepítők használatának első lépései

Az Intune végpontbiztonsági App Control for Business szolgáltatásával szabályzattal hozzáadhatja az Intune felügyeleti bővítménytfelügyelt telepítőként a felügyelt Windows-eszközökön.

Miután engedélyezte a felügyelt telepítőt, a Windows-eszközökön az Intune-on keresztül telepített összes további alkalmazást a rendszer a felügyelt telepítő címkével jelöli meg. A címke azonosítja, hogy az alkalmazást egy ismert forrás telepítette, és megbízható. Az alkalmazások felügyelt telepítői címkézését az Alkalmazásvezérlés vállalatoknak szabályzatai automatikusan azonosítják a környezet eszközein való futtatáshoz jóváhagyott alkalmazások azonosításához.

Az Alkalmazásvezérlés vállalati verzió szabályzatai a Windows Defender alkalmazásvezérlés (WDAC) implementációi. A WDAC-ről és az alkalmazáscímkézésről a Windows Defender alkalmazásvezérlő dokumentációjában, a Windows Defender alkalmazásvezérlő dokumentációjában, a Windows alkalmazásvezérlő és a WDAC-alkalmazásazonosító (AppId) címkézési útmutatójában talál további információt.

Megfontolandó szempontok a felügyelt telepítők használatához:

  • A felügyelt telepítő beállítása egy bérlőszintű konfiguráció, amely az összes felügyelt Windows-eszközre vonatkozik.

  • Miután felügyelt telepítőként engedélyezte az Intune Management bővítményt, a Windows-eszközökön az Intune-on keresztül telepített összes alkalmazás címkéje a felügyelt telepítő jelével lesz megjelölve.

  • Ez a címke önmagában nincs hatással arra, hogy mely alkalmazások futtathatók az eszközökön. A címke csak akkor használatos, ha olyan WDAC-szabályzatokat is hozzárendel, amelyek meghatározzák, hogy mely alkalmazások futtathatók a felügyelt eszközökön.

  • Mivel nincs visszamenőleges címkézés, a felügyelt telepítő engedélyezése előtt telepített eszközökön lévő összes alkalmazás nincs címkézve. Ha WDAC-szabályzatot alkalmaz, explicit konfigurációkat kell megadnia a címkézetlen alkalmazások futtatásának engedélyezéséhez.

  • Ezt a házirendet a Felügyelt telepítő házirend szerkesztésével kapcsolhatja ki. A szabályzat kikapcsolása megakadályozza, hogy a későbbi alkalmazások címkézve legyenek a felügyelt telepítővel. A korábban telepített és címkézett alkalmazások címkézve maradnak. A felügyelt telepítőknek a szabályzat kikapcsolása utáni manuális eltávolításáról a jelen cikk Későbbi, Az Intune felügyeleti bővítmény eltávolítása felügyelt telepítőként című szakaszában olvashat.

Az Intune által a felügyelt telepítő beállításáról a Windows biztonsági dokumentációjában talál további információt.

Fontos

A Log Analytics-integrációk által gyűjtött eseményekre gyakorolt lehetséges hatás

A Log Analytics az Azure Portal egyik eszköze, amellyel az ügyfelek adatokat gyűjthetnek az AppLocker-szabályzateseményekből. Ezzel a nyilvános előzetes verzióval, ha befejezi a jóváhagyási műveletet, az AppLocker-szabályzat megkezdi az üzembe helyezést a bérlő megfelelő eszközein. A Log Analytics konfigurációjától függően , különösen ha a részletesebb naplók egy részét gyűjti, ez az AppLocker-szabályzat által generált események számának növekedéséhez vezet. Ha a szervezet a Log Analyticset használja, javasoljuk, hogy tekintse át a Log Analytics beállítását, hogy az alábbiak szerint:

  • Ismerje meg a Log Analytics beállítását, és győződjön meg arról, hogy megfelelő adatgyűjtési korlát van érvényben a váratlan számlázási költségek elkerülése érdekében.
  • Kapcsolja ki az AppLocker-események gyűjtését a Log Analyticsben (hiba, figyelmeztetés, információ) az MSI- és szkriptnaplók kivételével.

Felügyelt telepítő hozzáadása a bérlőhöz

Az alábbi eljárás végigvezeti az Intune felügyeleti bővítmény felügyelt telepítőként való hozzáadásán a bérlőhöz. Az Intune egyetlen felügyelt telepítőszabályzatot támogat.

  1. A Microsoft Intune Felügyeleti központban lépjen a Végpontbiztonság (előzetes verzió) területre, válassza a Felügyelt telepítő lapot, majd a *Hozzáadás lehetőséget. Megnyílik a Felügyelt telepítő hozzáadása panel.

    Képernyőkép a Felügyelt telepítő oldalról, a jobb oldalon a Felügyelt telepítő hozzáadása panellel.

  2. Válassza a Hozzáadás, majd az Igen lehetőséget az Intune felügyeleti bővítmény felügyelt telepítőként való hozzáadásának megerősítéséhez.

  3. A felügyelt telepítő hozzáadása után bizonyos ritka esetekben akár 10 percet is várnia kell, mielőtt az új szabályzatot hozzáadja a bérlőhöz. Válassza a Frissítés lehetőséget a felügyeleti központ rendszeres frissítéséhez, amíg el nem érhető.

    A szabályzat akkor áll készen a szolgáltatásban, ha az Intune egy Felügyelt telepítő – Intune felügyeleti bővítmény nevű felügyelt telepítőházirendet jelenít meg Aktív állapottal. Előfordulhat, hogy az ügyféloldalon akár egy órát is várnia kell, amíg a szabályzat kézbesítése elkezdődik.

    Képernyőkép az Alkalmazásvezérlés vállalati verzió panelről, amelyen a felügyelt telepítőszabályzat látható és aktív.

  4. Most már kiválaszthatja a szabályzatot a konfiguráció szerkesztéséhez. A szerkesztést csak az alábbi két szabályzatterület támogatja:

    • Beállítások: A házirend-beállítások szerkesztésekor megnyílik a Felügyelt telepítő elutasítása panel, ahol módosíthatja a Felügyelt telepítő beállítása beállítást Be és Ki érték között. A telepítő hozzáadásakor a Felügyelt telepítő beállítása alapértelmezés szerint Be értékre van állítva. A konfiguráció módosítása előtt mindenképpen tekintse át a be- és kikapcsolási panelen részletezett viselkedést.

    • Hatókörcímkék: A szabályzathoz rendelt hatókörcímkéket hozzáadhatja és módosíthatja. Így megadhatja, hogy mely rendszergazdák tekinthetik meg a szabályzat részleteit.

Mielőtt a szabályzat érvénybe lép, létre kell hoznia és üzembe kell helyeznie egy Alkalmazásvezérlő vállalati verziós szabályzatot, amely meghatározza azokat a szabályokat, amelyekhez az alkalmazások a Windows-eszközökön futtathatók.

További információ: Felügyelt telepítő által telepített alkalmazások engedélyezése a Windows biztonsági dokumentációjában.

Fontos

Az AppLocker-szabályzatok egyesítéséből eredő esetleges rendszerindítási problémák kockázata

Ha az Intune-on keresztül engedélyezi a felügyelt telepítőt, a rendszer egy próbaszabályt tartalmazó AppLocker-szabályzatot helyez üzembe, és egyesíti a céleszközön meglévő AppLocker-szabályzattal. Ha a meglévő AppLocker-szabályzat tartalmaz egy NotConfigured és egy üres szabálykészlettel definiált RuleCollection parancsot, a rendszer a NotConfigured és a dummy szabály között egyesíti azt. A NotConfigured szabálygyűjtemény alapértelmezés szerint kényszerítve lesz, ha vannak szabályok definiálva a gyűjteményben. Ha a próbabábu szabály az egyetlen konfigurált szabály, az azt jelenti, hogy minden más nem lesz betöltve vagy végrehajtva. Ez váratlan problémákat okozhat, például az alkalmazások nem indulnak el, és nem indulnak el vagy nem jelentkeznek be a Windowsba. A probléma elkerülése érdekében javasoljuk, hogy távolítsa el a NotConfigured néven definiált , üres szabálykészlettel rendelkező RuleCollection parancsot a meglévő AppLocker-szabályzatból, ha az jelenleg érvényben van.

  • A felügyelt telepítő engedélyezheti a csoportházirend-objektumból kikényszerített leállított vagy letiltott App-Locker házirendeket (a célszámítógépeken).

Az Intune felügyeleti bővítmény eltávolítása felügyelt telepítőként

Szükség esetén leállíthatja az Intune felügyeleti bővítmény felügyelt telepítőként való konfigurálását a bérlőhöz. Ehhez ki kell kapcsolnia a felügyelt telepítő házirendet. A szabályzat kikapcsolása után további tisztítási műveleteket is használhat.

Az Intune felügyeleti bővítmény szabályzatának kikapcsolása (kötelező)

A következő konfiguráció szükséges az Intune felügyeleti bővítmény felügyelt telepítőként való hozzáadásának leállításához az eszközökhöz.

  1. A felügyeleti központban lépjen a Végpontbiztonság (előzetes verzió) területre, válassza a Felügyelt telepítő lapot, majd válassza a Felügyelt telepítő – Intune felügyeleti bővítmény szabályzatot.

  2. Szerkessze a házirendet, és állítsa a Felügyelt telepítő beállításabeállítást Ki értékre, és mentse a szabályzatot.

Az új eszközök nem lesznek konfigurálva az Intune felügyeleti bővítményével felügyelt telepítőként. Ez nem távolítja el az Intune felügyeleti bővítményt felügyelt telepítőként azokból az eszközökről, amelyek már konfigurálva vannak a használatára.

Az Intune felügyeleti bővítmény eltávolítása felügyelt telepítőként az eszközökön (nem kötelező)

Választható tisztítási lépésként futtathat egy szkriptet, amellyel eltávolíthatja az Intune felügyeleti bővítményt felügyelt telepítőként azokon az eszközökön, amelyek már telepítették. Ez nem kötelező, mivel ez a konfiguráció nincs hatással az eszközökre, kivéve, ha a felügyelt telepítőre hivatkozó Alkalmazásvezérlés vállalati verziós szabályzatokat is használ.

  1. Töltse le a CatCleanIMEOnly.ps1 PowerShell-szkriptet. Ez a szkript a következő címen https://aka.ms/intune_WDAC/CatCleanIMEOnly érhető el: download.microsoft.com.

  2. Futtassa ezt a szkriptet olyan eszközökön, amelyek felügyelt telepítőként beállították az Intune felügyeleti bővítményt. Ez a szkript csak az Intune felügyeleti bővítményt távolítja el felügyelt telepítőként.

  3. A fenti módosítások érvénybe léptetéséhez indítsa újra az Intune Management Extension szolgáltatást.

A szkript futtatásához használhatja az Intune-t PowerShell-szkriptek vagy más tetszőleges módszerek futtatására.

Az összes AppLocker-szabályzat eltávolítása egy eszközről (nem kötelező)

Az összes Windows AppLocker-házirend eszközről való eltávolításához használhatja a CatCleanAll.ps1 PowerShell-szkriptet. Ez a szkript nem csak az Intune felügyeleti bővítményt távolítja el felügyelt telepítőként, hanem az összes felügyelt telepítőt, valamint a Windows AppLockeren alapuló összes szabályzatot az eszközről. A szkript használata előtt győződjön meg arról, hogy tisztában van az AppLocker-szabályzatokat használó szervezetekkel.

  1. Töltse le a CatCleanAll.ps1 PowerShell-szkriptet. Ez a szkript a következő címen https://aka.ms/intune_WDAC/CatCleanAll érhető el: download.microsoft.com.

  2. Futtassa ezt a szkriptet olyan eszközökön, amelyek felügyelt telepítőként beállították az Intune felügyeleti bővítményt. Ez a szkript csak az Intune felügyeleti bővítményt távolítja el felügyelt telepítőként.

  3. A fenti módosítások érvénybe léptetéséhez indítsa újra az Intune Management Extension szolgáltatást.

A szkript futtatásához használhatja az Intune-t PowerShell-szkriptek vagy más tetszőleges módszerek futtatására.

Ismerkedés az App Control for Business szabályzataival

Az Intune végpontbiztonsági Alkalmazásvezérlés vállalatoknak szabályzataival kezelheti, hogy mely alkalmazások futhatnak a felügyelt Windows-eszközökön. A szabályzat által explicit módon nem futtatható alkalmazások csak akkor futnak, ha a szabályzatot naplózási mód használatára konfigurálta. Naplózási módban a szabályzat lehetővé teszi az összes alkalmazás futtatását, és helyileg naplózza azokról szóló adatokat az ügyfélen.

Az Intune a Windows ApplicationControl CSP-t használja Windows-eszközökön az engedélyezett vagy letiltott alkalmazások kezeléséhez.

Az Üzleti alkalmazásvezérlő házirend létrehozásakor ki kell választania egy konfigurációs beállításokat használó formátumot :

  • XML-adatok megadása – Ha xml-adatokat ad meg, meg kell adnia a szabályzatnak azokat az egyéni XML-tulajdonságokat, amelyek meghatározzák az alkalmazásvezérlő vállalati szabályzatát.

  • Beépített vezérlők – Ez a beállítás a legegyszerűbb konfigurálási út, mégis hatékony választás marad. A beépített vezérlőkkel egyszerűen jóváhagyhatja a felügyelt telepítő által telepített összes alkalmazást, és engedélyezheti a Windows-összetevők megbízhatóságát és az alkalmazások tárolását.

    Ezekről a lehetőségekről a felhasználói felületen talál további információt a szabályzatok létrehozásakor, és az alábbi eljárás is részletesen ismerteti, amely végigvezeti a szabályzatok létrehozásának folyamatán.

Miután létrehozott egy Alkalmazásvezérlő vállalati verziós szabályzatot, kibővítheti a szabályzat hatókörét olyan kiegészítő szabályzatok létrehozásával, amelyek xml formátumban további szabályokat adnak hozzá az eredeti szabályzathoz. Kiegészítő szabályzatok használata esetén az eredeti szabályzatot alapházirendnek nevezzük.

Megjegyzés:

Ha a bérlő oktatási bérlő, tekintse meg az Oktatási bérlők alkalmazásvezérlési üzleti szabályzatai című témakört, amelyből megismerheti az eszközök további eszköztámogatási és alkalmazásvezérlési vállalati szabályzatait.

Alkalmazásvezérlő vállalati verziós szabályzat létrehozása

Az alábbi eljárással hozhat létre egy sikeres Alkalmazásvezérlés vállalati verziós szabályzatot. Ez a szabályzat alapházirendnek minősül, ha kiegészítő szabályzatokat hoz létre a szabályzattal definiált megbízhatósági hatókör kibővítéséhez.

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba , és lépjen az Endpoint Security>App Control for Business (előzetes verzió)> területre, válassza az Alkalmazásvezérlés vállalati verzió lapot > , majd a Szabályzat létrehozása lehetőséget. Az Alkalmazásvezérlés vállalati verzió szabályzatai automatikusan a Windows 10 és újabb platformtípusokhoz vannak hozzárendelve.

    Képernyőkép a felügyeleti központ új Alkalmazásvezérlés vállalati verziós szabályzatának létrehozásához szükséges elérési útról.

  2. Az Alapok területen adja meg a következő tulajdonságokat:

    • Név: Adjon meg egy leíró nevet a profilnak. Nevezze el a profilokat, hogy később könnyen azonosíthassa őket.
    • Leírás: Itt adhatja meg a profil leírását. Ez a beállítás nem kötelező, de ajánlott.

  3. A Konfigurációs beállítások lapon válasszon konfigurációs beállításokat:

    XML-adatok megadása – Ezzel a beállítással egyéni XML-tulajdonságokat kell megadnia az alkalmazásvezérlő vállalati szabályzatának meghatározásához. Ha ezt a lehetőséget választja, de nem ad hozzá XLM-tulajdonságokat a szabályzathoz, az Nem konfiguráltként működik. A nem konfigurált alkalmazásvezérlési vállalati szabályzatok alapértelmezett viselkedést eredményeznek az eszközön, és az ApplicationControl CSP nem tartalmaz további beállításokat.

    Beépített vezérlők – Ezzel a beállítással a szabályzat nem használ egyéni XML-t. Ehelyett konfigurálja a következő beállításokat:

    • A Windows-összetevők és az áruházbeli alkalmazások megbízhatóságának engedélyezése – Ha ez a beállítás engedélyezve van (ez az alapértelmezett beállítás), a felügyelt eszközök windowsos összetevőket futtathatnak, alkalmazásokat tárolhatnak, valamint más, megbízhatóként konfigurálható alkalmazásokat is. A szabályzat által nem megbízhatóként definiált alkalmazások nem futnak.

      Ez a beállítás a csak naplózási módot is támogatja. Naplózási módban a rendszer minden eseményt naplóz a helyi ügyfélnaplókban, de az alkalmazások nem futnak.

    • További beállítások megadása az alkalmazások megbízhatóként való megadásához – Ehhez a beállításhoz az alábbi lehetőségek közül választhat:

      • Megbízható, jó hírű alkalmazások – Ezzel a beállítással az eszközök a Microsoft Intelligent Security Graph által meghatározott megbízható alkalmazásokat futtathatnak. Az Intelligens biztonsági gráf (ISG) használatáról a Windows biztonsági dokumentációjának Megbízható alkalmazások engedélyezése intelligens biztonsági gráfokkal (ISG) című témakörében olvashat.

      • Felügyelt telepítőktől származó alkalmazások megbízhatósága – Ez a beállítás lehetővé teszi, hogy az eszközök futtatják azokat az alkalmazásokat, amelyeket egy engedélyezett forrás, azaz egy felügyelt telepítő helyezett üzembe. Ez az Intune-on keresztül üzembe helyezendő alkalmazásokra vonatkozik, miután felügyelt telepítőként konfigurálta az Intune felügyeleti bővítményt.

        A házirendben nem meghatározott egyéb alkalmazások és fájlok viselkedése a Windows-összetevők megbízhatóságának engedélyezése és az alkalmazások tárolása beállításától függ:

        • Ha engedélyezve van, a fájlok és alkalmazások nem futnak az eszközökön
        • Ha a Csak naplózás értékre van állítva, a fájlok és alkalmazások naplózása csak a helyi ügyfélnaplókban történik

    Ez a képernyőfelvétel a beépített vezérlők használatakor az Üzleti alkalmazásvezérlési szabályzat alapértelmezett beállításait és beállításait jeleníti meg.

  4. A Hatókörcímkék lapon válassza ki az alkalmazni kívánt hatókörcímkéket, majd válassza a Tovább gombot.

  5. A Hozzárendelések területen válassza ki azokat a csoportokat, amelyek megkapják a szabályzatot, de vegye figyelembe, hogy a WDAC-szabályzatok csak az eszköz hatókörére vonatkoznak. A folytatáshoz válassza a Tovább gombot.

    További információért a profilok hozzárendeléséről lásd: Felhasználói és eszközprofilok hozzárendelése.

  6. A Felülvizsgálat + létrehozás beállításnál tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt. A szabályzat a szabályzatlistában is megjelenik.

Kiegészítő szabályzat használata

Egy vagy több kiegészítő szabályzat segíthet kiterjeszteni az alkalmazásvezérlés vállalati alapszabályzatát, hogy növelhesse a szabályzat megbízhatósági körét. A kiegészítő szabályzatok csak egy alapházirendet bővíthetnek, de több kiegészítő is kiterjesztheti ugyanazt az alapházirendet. Kiegészítő szabályzatok hozzáadásakor az alapszabályzat és annak kiegészítő szabályzatai által engedélyezett alkalmazások futtathatók az eszközökön.

A kiegészítő házirendnek XML formátumúnak kell lennie, és hivatkoznia kell az alapházirend házirend-azonosítójára.

Az üzleti alkalmazásvezérlő alapszabályzatának szabályzatazonosítóját az alapszabályzat konfigurációja határozza meg:

  • Az egyéni XML használatával létrehozott alapszabályzatok egyedi PolicyID azonosítóval rendelkeznek, amely ezen XML-konfiguráción alapul.

  • Az Alkalmazásvezérlés vállalati verzió beépített vezérlőivel létrehozott alapszabályzatok a négy lehetséges PolicyID egyikével rendelkeznek, amelyeket a beépített beállítások lehetséges kombinációi határoznak meg. Az alábbi táblázat a kombinációkat és a kapcsolódó PolicyID azonosítót azonosítja:

    Alapszabályzat PolicyID azonosítója A WDAC-szabályzat beállításai (naplózás vagy kényszerítés)
    {A8012CFC-D8AE-493C-B2EA-510F035F1250} Alkalmazásvezérlési szabályzat engedélyezése a Windows-összetevők és az Áruházbeli alkalmazások megbízhatóságának engedélyezéséhez
    {D6D6C2D6-E8B6-4D8F-8223-14BE1DE562FF} Az alkalmazásvezérlési szabályzat engedélyezése a Windows-összetevők és az Áruházbeli alkalmazások
    megbízhatónak nyilvánításához és
    a megbízható alkalmazások megbízhatónak nyilvánításához
    {63D1178A-816A-4AB6-8ECD-127F2DF0CE47} Az alkalmazásvezérlési szabályzat engedélyezése a Windows-összetevők és az Áruházbeli alkalmazások
    megbízhatóságának engedélyezéséhez és
    a felügyelt telepítőktől származó alkalmazások megbízhatóságának engedélyezése
    {2DA0F72D-1688-4097-847D-C42C39E631BC} Engedélyezze az alkalmazásvezérlési szabályzatot a Windows-összetevők és az Áruházbeli alkalmazások
    megbízhatónak nyilvánításához és
    a megbízható
    alkalmazások megbízhatónak nyilvánításához a
    felügyelt telepítőktől származó megbízható alkalmazásokban

Annak ellenére, hogy két, a beépített vezérlők azonos konfigurációját használó Alkalmazásvezérlő vállalati verziós szabályzat ugyanazzal a PolicyID azonosítóval rendelkezik, a szabályzatok hozzárendelései alapján különböző kiegészítő szabályzatokat alkalmazhat.

Vegye figyelembe a következő forgatókönyvet:

  • Két alapszabályzatot hoz létre, amelyek ugyanazt a konfigurációt használják, ezért ugyanazzal a PolicyID azonosítóval rendelkeznek. Az egyiket a vezetői csapatban, a második szabályzatot pedig az ügyfélszolgálati csapatban helyezi üzembe.

  • Ezután létrehoz egy kiegészítő szabályzatot, amely lehetővé teszi más alkalmazások futtatását, amelyekre a vezetői csapatnak szüksége van. Ezt a kiegészítő szabályzatot ugyanahhoz a csoporthoz, az ügyvezető csapathoz rendeli.

  • Ezután létrehoz egy második kiegészítő szabályzatot, amely lehetővé teszi az ügyfélszolgálati csapat által igényelt különböző eszközök futtatását. Ez a szabályzat az Ügyfélszolgálat csoporthoz van rendelve.

Ezeknek az üzemelő példányoknak köszönhetően mindkét kiegészítő szabályzat módosíthatja az alapházirend mindkét példányát. Az eltérő és különálló hozzárendelések miatt azonban az első kiegészítő szabályzat csak a vezetői csapathoz rendelt engedélyezett alkalmazásokat módosítja, a második szabályzat pedig csak az ügyfélszolgálati csapat által használt engedélyezett alkalmazásokat módosítja.

Kiegészítő szabályzat létrehozása

  1. A Windows Defender alkalmazásvezérlési varázslóval vagy PowerShell-parancsmagokkal XML formátumban hozhat létre alkalmazásvezérlő vállalati verziós szabályzatot.

    A varázslóról további információt a aka.ms/wdacWizard vagy a Microsoft WDAC varázslóban talál.

    Amikor XML formátumú szabályzatot hoz létre, annak hivatkoznia kell az alapházirend Házirend-azonosítójára .

  2. Miután létrehozta az Alkalmazásvezérlés vállalati verzióhoz kiegészítő szabályzatot XML formátumban, jelentkezzen be a Microsoft Intune Felügyeleti központba , és lépjen a Végpontbiztonság>Alkalmazásvezérlő vállalati verzió (előzetes verzió)> területre, válassza az Alkalmazásvezérlő vállalati verzió lapot, majd válassza a Szabályzat létrehozása lehetőséget.

  3. Az Alapok területen adja meg a következő tulajdonságokat:

    • Név: Adjon meg egy leíró nevet a profilnak. Nevezze el a profilokat, hogy később könnyen azonosíthassa őket.

    • Leírás: Itt adhatja meg a profil leírását. Ez a beállítás nem kötelező, de ajánlott.

  4. A Konfigurációs beállításokformátuma beállításnál válassza az Xml-adatok megadása lehetőséget, és töltse fel az XML-fájlt.

  5. A Hozzárendelések beállításnál válassza ki azokat a csoportokat, amelyekhez hozzá szeretné rendelni azt az alapházirendet, amelyre a kiegészítő szabályzatot alkalmazni szeretné, majd válassza a Tovább gombot.

  6. A Felülvizsgálat + létrehozás beállításnál tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt. A szabályzat a szabályzatlistában is megjelenik.

Alkalmazásvezérlés üzleti szabályzatok Oktatási bérlőkhöz

Az oktatási szervezetek bérlőinek alkalmazásvezérlési vállalati szabályzatai az előfeltételekben támogatott platformok mellett a Windows 11 SE-t is támogatják.

A Windows 11 SE egy felhőalapú operációs rendszer, amely az osztálytermekben való használatra van optimalizálva. Az Intune for Educationhez hasonlóan a Windows SE 11 is a hatékonyságot, a diákok adatvédelmét és a tanulást helyezi előtérbe, és csak az oktatáshoz nélkülözhetetlen funkciókat és alkalmazásokat támogatja.

Az optimalizálás elősegítése érdekében a WDAC-szabályzat és az Intune felügyeleti bővítmény automatikusan konfigurálva van a Windows 11 SE-eszközökhöz:

  • A Windows 11 SE-eszközök Intune-támogatásának hatóköre előre definiált WDAC-szabályzatok üzembe helyezése az EDU-bérlőkben lévő alkalmazások egy készletlistájával. Ezek a szabályzatok automatikusan üzembe lesznek helyezve, és nem módosíthatók.

  • Intune EDU-bérlők esetén az Intune felügyeleti bővítmény automatikusan felügyelt telepítőként van beállítva. Ez a konfiguráció automatikus, és nem módosítható.

Az Üzleti alkalmazásvezérlési szabályzat törlése

A WDAC-szabályzatok központi telepítése mobileszköz-kezeléssel (MDM) (Windows 10) – A Windows biztonsági dokumentációjának Windows-biztonság szakaszában leírtak szerint az Intune felhasználói felületéről törölt szabályzatok törlődnek a rendszerből és az eszközökről, de a gép következő újraindításáig érvényben maradnak.

A WDAC-kényszerítés letiltása vagy törlése:

  1. Cserélje le a meglévő szabályzatot a szabályzat egy új verziójára, amely Allow /*a windowsos eszközökön található példaszabályzat szabályaihoz hasonlóan a következő helyen található: %windir%\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml

    Ez a konfiguráció eltávolítja azokat a blokkokat, amelyek egyébként megmaradhatnak az eszközön a szabályzat eltávolítása után.

  2. A frissített szabályzat üzembe helyezése után törölheti az új szabályzatot az Intune portálról.

Ez a sorozat megakadályozza, hogy bármi le legyen tiltva, és a következő újraindításkor teljesen eltávolítsa a WDAC-szabályzatot.

Az Üzleti alkalmazásvezérlési szabályzatok és a felügyelt telepítő figyelése

Miután hozzárendelte az eszközöket az App Control for Business és a Managed Installer szabályzataihoz, a felügyeleti központban tekintheti meg a szabályzat részleteit.

  • A jelentések megtekintéséhez a fióknak olvasási engedéllyel kell rendelkeznie a Szervezet Intune szerepköralapú hozzáférés-vezérlési kategóriájához.

A jelentések megtekintéséhez jelentkezzen be az Intune Felügyeleti központba, és lépjen a Fiókkezelés csomópontra. (Végpontbiztonság>Fiókkezelés (előzetes verzió)). Itt kiválaszthatja a megtekinteni kívánt szabályzat részleteinek lapfülét:

Felügyelt telepítő

A Felügyelt telepítő lapon megtekintheti a felügyelt telepítő – Intune felügyeleti bővítmény szabályzatának állapotát, sikerességének számát és hibaadatait:

Ez a képernyőfelvétel a felügyelt telepítő házirendjének Áttekintés lapját jeleníti meg.

Válassza ki a szabályzat nevét az Áttekintés lap megnyitásához, ahol a következő információkat tekintheti meg:

  • Az eszköz állapota, a sikeresség és a hibák statikus száma.

  • Az eszközállapot trendje, egy előzménydiagram, amely az egyes részletkategóriákban lévő eszközök idősorát és számát jeleníti meg.

A jelentés részletei a következők:

  • Succeeded – Azok az eszközök, amelyek sikeresen alkalmazták a szabályzatot.

  • Hiba – Hibákkal rendelkező eszközök.

  • Új eszközök – Az új eszközök azonosítják azokat az eszközöket, amelyek nemrég alkalmazták a szabályzatot.

    Ez a képernyőfelvétel a felügyelt telepítő áttekintését jeleníti meg.

Akár 24 órába is telhet, amíg az Eszköz állapota és az Eszközállapot trendje szakasz frissül az Áttekintésben.

A szabályzat részleteinek megtekintésekor az Eszköz állapota (a Monitor alatt) lehetőséget választva megnyithatja a szabályzat részleteinek eszközalapú nézetét. Az Eszközállapot nézet a következő adatokat jeleníti meg, amelyekkel azonosíthatja a problémákat, ha egy eszköz nem tudja sikeresen alkalmazni a szabályzatot:

  • Eszköz neve
  • Felhasználónév
  • Operációs rendszer verziója
  • Felügyelt telepítő állapota (Sikeres vagy Hiba)

Eltarthat néhány percig, amíg a szabályzat részleteinek eszközalapú nézete frissül, miután az eszköz ténylegesen megkapta a szabályzatot.

Alkalmazásvezérlés vállalati verzió

Az Alkalmazásvezérlés vállalati verzió lapon megtekintheti az Alkalmazásvezérlő vállalati verziós szabályzatainak listáját, valamint az alapvető részleteket, beleértve azt is, hogy ki van-e rendelve, és mikor módosították utoljára.

Válasszon ki egy szabályzatot a további jelentésbeállításokat tartalmazó nézet megnyitásához:

Ez a képernyőfelvétel szabályzatonkénti állapotnézetet, valamint két további jelentés csempéinek megjelenítését mutatja.

A szabályzat jelentési lehetőségei a következők:

  • Eszköz- és felhasználó-bejelentkezési állapot – Egy egyszerű diagram, amely megjeleníti azoknak az eszközöknek a számát, amelyek a szabályzat minden elérhető állapotát jelentik.

  • Jelentés megtekintése – Ekkor megnyílik egy nézet, amely tartalmazza a szabályzatot kapott eszközök listáját. Itt kiválaszthatja azokat az eszközöket, amelybe be szeretne fúrni, és megtekintheti az Alkalmazásvezérlés vállalati verzió szabályzatbeállításainak formátumát.

A szabályzatnézet a következő jelentéscsempéket is tartalmazza:

  • Eszköz-hozzárendelés állapota – Ez a jelentés a szabályzat által megcélzott összes eszközt megjeleníti, beleértve a függőben lévő szabályzat-hozzárendelési állapotú eszközöket is.

    Ezzel a jelentéssel kiválaszthatja a megtekinteni kívánt hozzárendelési állapotértékeket , majd a Jelentés létrehozása lehetőséget választva frissítheti a jelentésnézet azon eszközeit, amelyek megkapták a szabályzatot, az utolsó aktív felhasználót és a hozzárendelés állapotát.

    Kiválaszthatja azokat az eszközöket is, amelybe be szeretne fúrni, és megtekintheti az Alkalmazásvezérlés vállalati verzió szabályzatbeállításainak formátumát.

  • Beállításonkénti állapot – Ez a jelentés azoknak az eszközöknek a számát jeleníti meg, amelyek sikeres, hiba vagy ütközés állapotot jelentenek a házirend beállításaihoz.

Gyakori kérdések

Mikor kell beállítani az Intune felügyeleti bővítményt felügyelt telepítőként?

Javasoljuk, hogy a következő elérhető lehetőségnél konfigurálja az Intune felügyeleti bővítményt felügyelt telepítőként.

A beállítás után az eszközökre telepítendő további alkalmazások megfelelően fel vannak címkézve, hogy támogassák azokat a WDAC-szabályzatokat, amelyek a felügyelt telepítőktől származó alkalmazásokat megbízhatónak minősítik.

Azokban a környezetekben, ahol a felügyelt telepítő konfigurálása előtt üzembe helyezett alkalmazások vannak telepítve, javasoljuk, hogy új WDAC-szabályzatokat telepítsen naplózási módban , hogy azonosítsa az üzembe helyezett alkalmazásokat, de ne címkézhesse őket megbízhatóként. Ezután áttekintheti a naplózási eredményeket, és meghatározhatja, hogy mely alkalmazások legyenek megbízhatók. A megbízható és futtatható alkalmazások esetében létrehozhat egyéni WDAC-szabályzatokat az alkalmazások engedélyezéséhez.

Hasznos lehet megismerni a Speciális veszélyforrás-keresés funkciót, amely a Végponthoz készült Microsoft Defender egyik funkciója , amely megkönnyíti a naplózási események lekérdezését a rendszergazdák által kezelt számos gépen, és segít nekik szabályzatokat létrehozni.

Mit tegyek a régi alkalmazásvezérlési szabályzattal a támadásifelület-csökkentési szabályzatból?

Bizonyára észrevette, hogy az Intune felhasználói felületén az Alkalmazásvezérlési szabályzat példányai az Endpoint Security>Attach Surface Reduction vagy az Eszközök>konfigurálása területen vannak. Ezek egy későbbi kiadásban elavultak lesznek.

Mi a teendő, ha több alap- vagy kiegészítő szabályzatom van ugyanazon az eszközön?

A Windows 10 1903 előtt az App Control for Business egy adott időpontban csak egyetlen aktív szabályzatot támogatott egy rendszeren. Ez jelentősen korlátozza az ügyfeleket olyan helyzetekben, amikor több különböző szándékú szabályzat hasznos lenne. Jelenleg több alap- és kiegészítő szabályzat is támogatott ugyanazon az eszközön. További információ a vállalati alkalmazásvezérlési szabályzatok üzembe helyezéséről.

Egy kapcsolódó megjegyzésben már nincs korlátozva, hogy 32 szabályzat legyen aktív ugyanazon az eszközön az App Control for Business esetében. Ez a probléma a 2024. március 12-én vagy azt követően kiadott Windows biztonsági frissítéssel rendelkező Windows 10 1903-at vagy újabb verziót futtató eszközök esetében már megoldódott. A Windows régebbi verziói várhatóan megkapják ezt a javítást a Windows jövőbeli biztonsági frissítéseiben.

A Felügyelt telepítő képes a megfelelő címkével rendelkező, a Configuration Managerből telepített bérlői alkalmazásaimra vonatkozó jóváhagyási képességre?

Nem. Ez a kiadás az Intune-ból telepített alkalmazások felügyelt telepítőként az Intune felügyeleti bővítmény használatával történő beállítására összpontosít. A Configuration Manager nem állítható be felügyelt telepítőként.

Ha a Configuration Managert felügyelt telepítőként szeretné beállítani, ezt a viselkedést a Configuration Managerből engedélyezheti. Ha a Configuration Manager már be van állítva felügyelt telepítőként, a várt viselkedés az, hogy az új Intune Management Extension AppLocker szabályzat egyesül a meglévő Configuration Manager-szabályzattal.

Milyen szempontokat kell figyelembe vennünk a szervezeten belüli, felügyelt telepítőt használni kívánó Entra Hybrid Join (HAADJ) eszközökkel kapcsolatban?

Az Entra hibrid csatlakoztatási eszközeinek csatlakozniuk kell egy helyszíni tartományvezérlőhöz (DC) a csoportházirendek alkalmazásához, beleértve a felügyelt telepítő házirendet is (az AppLockeren keresztül). Tartományvezérlő-kapcsolat nélkül, különösen az Autopilot kiépítése során, a felügyelt telepítő házirendje nem lesz sikeresen alkalmazva. Fontolja meg:

  1. Használja inkább az Autopilotot Entra-illesztéssel. További információért tekintse meg az Entra csatlakozási lehetőségére vonatkozó javaslatunkat.

  2. Az Entra hibrid csatlakoztatásához válasszon egyet vagy mindkettőt a következők közül: o Olyan eszközkiépítési módszerek használata, amelyek tartományvezérlő-kapcsolatot biztosítanak az alkalmazás telepítésekor, mivel az Autopilot itt nem működik. o Az Autopilot üzembe helyezése után telepítse az alkalmazásokat, hogy a dc-kapcsolat az alkalmazás telepítésekor létrejönjön, és a felügyelt telepítő házirendje alkalmazható legyen.

Következő lépések

Végpontbiztonsági szabályzatok konfigurálása